Die Datenschutz-Grundverordnung und das Problem
Die europäische Datenschutz-Grundverordnung (DSGVO) stellt für europäische Cloud-Dienstleister ein wichtiges Instrument dar, um der Allmacht von GAFAM oder auch MAAMA etwas entgegenzusetzen. Mit GAFAM bzw. MAAMA werden die großen Tech-Konzerne Google, Amazon, Facebook, Apple und Microsoft bzw. Meta, Amazon, Apple, Microsoft und Alphabeth bezeichnet, welche im jeweiligen Bereich ein Quasi-Monopol geschaffen haben. Mehrere US-amerikanische Gesetze sorgen dafür, dass US-Clouddienstleister die DSGVO nicht erfüllen können. Fadenscheinige Abkommen mit der EU wie Safe Harbor oder Privacy Shield werden von Höchstgerichten zeitverzögert stets gekippt.
Privacy Shield gilt nicht mehr
Das Privacy Shield war eine informelle Absprache, welche im Jahr 2015 von der EU-Kommission mit den Amerikanern ausverhandelt wurde. Die Übereinkunft sollte die Erfüllung europäischer Datenschutznormen bei der Datenübermittlung in die USA gewährleisten. Zudem sollte das Privacy Shield als Nachfolger des bereits zuvor gekippten Safe Harbor Abkommens dienen und einen angemessenen Datenschutz für die europäische Bevölkerung sicherstellen. Am 16. Juli 2022 stellt der Europäische Gerichtshof im entsprechenden EuGH Urteil fest, dass das Privacy Shield, unter dem die Datenübertragung in die USA zulässig war, nicht mehr gilt.
Demnach dürfen seit dem 16. Juli 2020 personenbezogene Daten nicht mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Sogenannte Standardvertragsklauseln, die für die Übermittlung personenbezogener Daten in Drittländer verwendet werden, gelten weiterhin.
Dennoch - diese Standardvertragsklauseln dürfen nur angewendet werden, wenn das betreffende Drittland ein Datenschutzniveau bietet, welches dem der EU gleichwertig ist.
Zusammengefasst bedeutet dies, dass der Transfer von personenbezogenen Daten auf Basis des Privacy Shield nicht zulässig ist und nur anhand von Standardvertragsklauseln erfolgen darf, wenn der Staat, in welchen die Daten transferiert werden, über ein Datenschutzniveau verfügt, welches den Bürger:innen dieselben Rechte wie in der EU gewährleistet.
Dies ist im Urteil wie folgt nachzulesen (§ 105):
"...dass die nach diesen Vorschriften erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist."
Das für die Datenübermittlung verantwortliche Unternehmen hat sicherzustellen, dass die Standardvertragsklauseln im Einzelfall geprüft werden und ein angemessenes Schutzniveau gewährleistet ist. Das Datenschutzniveau in den USA reicht nicht an jenes in Europa heran. Damit scheidet die USA als Staat, in welchen personenbezogene Daten auf Basis von Standardvertragsklauseln transferiert werden dürfen, in den meisten Fällen aus. Die Übermittlung von personenbezogenen Daten in die USA auf Basis von Standardvertragsklauseln stellt somit einen Verstoß gegen die Datenschutz-Grundverordnung dar.
Personenbezogene Daten nach Europa übermitteln
Eine mögliche Option besteht darin, in den USA gespeicherte, personenbezogene Daten nach Europa zu verlagern. Amerikanische Großkonzerne, wie beispielsweise Microsoft, haben vor einigen Jahren damit begonnen, sogenannte Serverfarmen, also riesige Datencenter, in Europa aufzubauen. Dadurch müssen die Daten europäischer Bürger:innen nicht mehr in die USA transferiert werden. Aber ist das wirklich die Lösung?
Gesetz zur Überwachung in der Auslandsaufklärung
Der Foreign Intelligence Surveillance Act, kurz FISA, ist ein US-amerikanisches Gesetz zur Überwachung sowie Regulierung der Auslandsaufklärung und Spionageabwehr der Vereinigten Staaten. Das Gesetz verpflichtet alle amerikanischen Anbieter von Kommunikationsdiensten dazu, die Daten ausländischer Bürger:innen zu sammeln, zu speichern und den Behörden zur Verfügung zu stellen. Die US-amerikanischen Kommunikationsdienstleister unterliegen diesem Gesetz, unabhängig davon, was mit europäischen Unternehmen in Verträgen vereinbart wurde.
US-Behörden wird dadurch ermöglicht, alle elektronische Kommunikation von Bürger:innen, die sich außerhalb der USA befinden, abzufangen. Per National Security Letter werden Metadaten auch ohne richterlichen Beschluss angefordert. In Edward Snowdens Biografie lässt sich nachlesen, dass unsere Kommunikation nahezu lückenlos aufgezeichnet wird. Er hatte die immensen Speicher im Auftrag der Geheimdienste mitaufgebaut.
Hinzu kommt der Cloud Act
Der Cloud Act ist ein 2018 von der amerikanischen Regierung verabschiedetes Gesetz. Das Gesetz verpflichtet alle amerikanischen Unternehmen dazu, den Behörden auch dann Zugriff auf Daten zu gewähren, wenn diese außerhalb der USA gespeichert werden. Dies bedeutet, auch wenn amerikanische Unternehmen Daten in Europa speichern, muss der Zugriff auf diese Daten für US-Behörden gewährleistet sein. Dies steht im Widerspruch zur europäischen Datenschutzgrundverordnung.
Hierbei geht es um ein Grundrecht von europäischen Bürger:innen und dieses Grundrecht wird von den USA konsequent und vorsätzlich verletzt. Da es unwahrscheinlich ist, dass Europa die Grundrechte ändert oder Amerika die eigenen Gesetze anpasst, muss langfristig eine andere Lösung gefunden werden.
Die Verwendung europäischer Software als Lösung
Wir von fairkom versuchen, diese immense Herausforderung als Chance für Europa, für die europäische Unabhängigkeit und Wirtschaft zu sehen. Das EuGH-Urteil ist am 16. Juli 2020 in Kraft getreten. Die Auswirkungen sind somit seit diesem Tag rechtskräftig und täglich werden die Grundrechte der europäischen Bürger:innen in einem kaum zu überblickendem Ausmaß verletzt.
Warum ist das so? - Der Umfang der Auswirkungen ist so gigantisch, dass gerne erstmal der Kopf in den Sand gesteckt wird. Hinzu kommt die enorme Abhängigkeit der europäischen Politik und Wirtschaft von Software aus den USA. Amerikanische Unternehmen stehen hinter einem Großteil der Software, welche in Europa täglich verwendet wird. Infolgedessen gibt es wenig politischen Widerstand gegen die Überwachung europäischer Bürger:innen durch US-Unternehmen und -Behörden.
Die Maßnahmen von fairkom zu einem fairen Umgang mit Daten sind hier aufgelistet. Der Blogbeitrag zu alternativen Tools bietet Ansatzpunkte, wie US-Software durch Open Source ersetzt werden kann.
Weiterführende Informationen:
Dieser Artikel dient als Grundlage für die Recherche.